7Payの不正クレジット使用に関するメモ SIerが抱える構造的な欠陥
- pratula_twi
- 66676
- 694
- 119
- 484
セブンペイ、一番あり得ないのは 社長が「セキュリティインシデント発生時の計画」がないまま記者会見に参加したこと。 これが経営者として致命的すぎる。 本来は監査部門が経営者から独立して、経営者にセキュリティ規約を守らせないといけない。 監査部門は何をやっていたのか #7pay
2019-07-04 20:09:12正にコレ。 こうならないためのインシデント対応計画なんだよ。 どう見ても策定してない youtu.be/3-pzOV0OLyw
2019-07-04 20:10:28同じ不祥事でも 例えば車のリコールだったら 「弊社の丸々という部品に問題がありました」って発表するでしょ。 何故それが出来るかと言うと、事件が発生したときのマニュアルが設定してあるから セブンペイは何も決めてなかった
2019-07-04 20:18:13セブンペイについてもうちょっと書くと、これはセブンペイの問題だけじゃなくて、 SIerと仕事をする全ての企業が抱えるリスク
2019-07-04 21:35:24今回のインシデント。 余りにも初歩的な業務フローミス(仕様のミス)であるんだけど、 その後の対応もあり得ないレベルで失策。
2019-07-04 21:35:24まず、「監査部門からセキュリティについては問題なし」と念押しした。 そして「これからに関しては調査中」と繰り返した 一番あり得ない。
2019-07-04 21:35:24まず、インシデントが起こったとき、まず初めにするべきは影響範囲の調査と、セキュリティ計画に乗っ取ったインシデント対応。 会見では「計画のけの字」も聞かなかったぜ
2019-07-04 21:35:25まず、セブン&アイ・ホールディングスほどのユーザー企業なら、セキュリティ計画を実施してない訳がない。 社長は、敢えてか知らないけど、自社のセキュリティ計画すらガン無視して記者会見した
2019-07-04 21:35:25ガン無視したならまだいい方で、コレほど巨大なIT企業に関わらず、インシデント発生時の計画がなかった可能性がある。 ホントにあり得ない。
2019-07-04 21:35:25また、社長はセブンペイのシステムについてまるで知らなかった。 そして、セブンペイのシステムを作っているのは、NTTや日本オラクルなど、著名なIT企業などの、その「協力会社」だという。 セブンペイのシステムを作ったのがSIerゼネコンであることは明らかだ
2019-07-04 21:35:26勿論、SIerで実装をしているのは偽装請負や、派遣で雇われたプログラマーである。 コレほど単純なミスを、現場のプログラマーが知らなかったわけがない。 現場プログラマーの認識が監査部門に届いていなかったのは明白だ
2019-07-04 21:35:26正直、この機能を作って、「他のメールアドレス入れたらどうなるんだろう」と考えない訳がない SIerゼネコンのどこかで、この問題は「顧客が求めてるんだから実装するんだよ」になったのだ
2019-07-04 21:35:26余談だけど、SIerゼネコンは、去年も多重請負構造が原因のセキュリティ事故を起こしてる "国税庁 240万件マイナンバー流出事故" いい加減自社でプログラマー雇え
2019-07-04 21:35:26じゃあ、外国のIT企業はどうしてるのかと言うと Amazonがセキュリティではないけど、インシデントを起こした事がある。
2019-07-04 21:35:27ある日Amazon Web Service の北米ヴァージニア州にあるデータセンターの重要な機能(S3ストレージ)が全てダウンした。 被害額は想像もつかない
2019-07-04 21:35:27Amazonはこの原因を調査し、 北米データセンターにあるエンジニアが、間違って、特権ユーザーで、一部のサーバーをシャットダウンするつもりが、重要なサブシステムまでシャットダウンしてしまった事が原因だとわかった
2019-07-04 21:35:28勿論、Amazonは色んな企業に避難され、エンジニアも始末書を書くはめになったが、 AWS現在でも世界で一番儲けてるクラウドサービスである
2019-07-04 21:35:29ここで大事なのは、何故ここまで早い調査が出来たか、である。 勿論、エンジニアが「自分がやりました」と正直に答えたからだ
2019-07-04 21:35:29何故エンジニアが正直に答えられたか、 仕事を首にならないからである。 間違いは間違いなのだから、認めて、正しい仕事をすればいい
2019-07-04 21:35:29これが日本ではそうはいかない 日本のプログラマーはほとんど派遣か偽装請負であり、間違いを報告すると首になるのだ。 残業も増えるしな
2019-07-04 21:35:30セブンペイは原因は現在も調査中で、影響範囲も分からない、という。 実際に作った人が何処の誰だか分かってないのは明らかだ
2019-07-04 21:35:30